防火墙——NAT穿越技术理论讲解(IPSec3)

目录

为什么需要NAT穿越技术

NAT穿越报文

如何判断是ISAKMP报文还是ESP报文

NAT穿越协商-四步协商

注意事项


什么情况下使用NAT穿越技术

部署IPSec VPN网络时,如果发起者位于一个私网内部,远端位于公网侧,而它希望与远端响应者直接建立一条IPSec隧道。

为保证存在NAT设备的IPSec隧道能够正常建立,这就涉及到IPSec的NAT穿越问题

防火墙——NAT穿越技术理论讲解(IPSec3)_第1张图片


为什么需要NAT穿越技术

防火墙——NAT穿越技术理论讲解(IPSec3)_第2张图片

从IKE、IPSec协商方面讨论

  1. IKE、IPSec协商是通过ISAKMP消息进行传输的,ISAKMP由UDP封装,源目端口都为500(加密报文不会加密IP头和UDP端口号),ISAKMP消息可以进行NAT转换

从IPSec数据传输方面讨论

  1. IPSec数据传输是通过安全协议传输的。安全协议AH不论是在传输模式还是隧道模式下,都会认证整个IP包,由于NAT会改变IP头,影响Hash计算,使用AH协议无法进行NAT转换
  2. 安全协议ESP在传输模式下进行NAT转换,会修改原始IP,所以ESP传输封装模式无法进行NAT转换。

总结

  1. 由以上可知,ESP隧道模式可以进行NAT转换,但是ESP协议会加密TCP头部,不会认证最外层头部。无法进行端口转换。此时就需要NAT穿越技术来解决这个问题
  2. 为了解决ESP无法进行端口转换的问题,就通过NAT穿越添加UDP报文头来解决端口转换的问题
  3. 综上所述,使用ESP+隧道封装+NAT穿越来解决私网通过NAT和公网建立隧道的问题

NAT穿越报文

对于ISAKMP报文(SA协商),报文没有变化,只是IKE第一阶段之后的报文就会将其端口修改为4500

(私网发给公网的目的端口是4500,公网发给私网的源端口4500)

对于ESP报文(加密数据传输),会在ESP头和原始IP头之间加入端口为4500的UDP头部

如何判断是ISAKMP报文还是ESP报文

ISAKMP报文——在UDP头后有一个Non-ESP Marker字段

ESP报文——SPI不为0

防火墙——NAT穿越技术理论讲解(IPSec3)_第3张图片


NAT穿越协商-四步协商

1.在IKE协商第一阶段中(IKEv1为例子),通过IKE的Vender ID进行判断设备是否支持NAT穿越

防火墙——NAT穿越技术理论讲解(IPSec3)_第4张图片

2.在IKE协商第一阶段中(IKEv1为例子),通过NAT-D负载来判断IPSec对等体之间是否存在NAT设备

(将源目IP、端口进行Hash计算,发送给对端进行对比)

防火墙——NAT穿越技术理论讲解(IPSec3)_第5张图片

3.在IKE协商第一阶段中(IKEv1为例子),测试UDP4500端口是否可用

4.在IKE协商第二阶段中(IKEv1为例子),协商NAT功能是否启用


注意事项

  1. NAT穿越设备两端都要配置(内网设备和公网设备)——当内网设备不支持NAT穿越时,在NAT设备上开启ESP NAT就可以
  2. 当使用IP地址做标识时,公网设备要指定内网转换后的地址
  3. 当做静态NAT,不转换端口时,也要开启NAT穿越,负责IPSec SA起来了,但是流量数据过不去

IPSecNAT穿越实验配置_多谢思考的博客-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/m0_49864110/article/details/124924141?spm=1001.2014.3001.5502

你可能感兴趣的:(#,网络安全FW理论讲解,网络,安全)